Última vulnerabilidad de Ivanti SSRF zero-day ahora bajo explotación masiva

Una vulnerabilidad de solicitud falsificada del lado del servidor (SSRF) en Ivanti Connect Secure e Ivanti Policy Secure, rastreada como CVE-2024-21893, está actualmente bajo explotación masiva por parte de múltiples atacantes.

Ivanti primero advirtió sobre la falla en los componentes SAML del Gateway el 31 de enero de 2024, dándole un estatus de zero-day para explotación activa limitada, afectando a un pequeño número de clientes.

La explotación de CVE-2024-21893 permitió a los atacantes evadir la autenticación y acceder a recursos restringidos en dispositivos vulnerables (versiones 9.x y 22.x).

El volumen de la explotación de esta vulnerabilidad en particular es mucho mayor que el de otras fallas de Ivanti, recientemente solucionadas o mitigadas, lo que indica un claro cambio en el enfoque de los atacantes.

Aunque el exploit de prueba de concepto (PoC) lanzado por investigadores de Rapid7 el 2 de febrero del 2024, sin duda ha jugado un papel en ayudar a los ataques, Shadowserver señala que vieron a los atacantes utilizando métodos similares horas antes de la publicación del informe de Rapid7.

 

 

Esto significa que los hackers ya habían descubierto cómo aprovechar CVE-2024-21893 para acceder sin restricciones y sin autenticación a puntos finales vulnerables de Ivanti.

Según ShadowServer, actualmente hay casi 22,500 dispositivos Ivanti Connect Secure expuestos en Internet. Sin embargo, se desconoce cuántos son vulnerables a esta vulnerabilidad en particular.

La divulgación de CVE-2024-21893 vino junto con el lanzamiento de actualizaciones de seguridad para otros dos zero-days que afectan a los mismos productos, CVE-2023-46805 y CVE-2024-21887, que Ivanti descubrió por primera vez el 10 de enero de 2024, compartiendo mitigaciones temporales.

Se descubrió que estas dos fallas fueron explotadas por el grupo de amenazas de espionaje chino UTA0178/UNC5221 para instalar webshells y backdoors en dispositivos comprometidos. Las infecciones de esta campaña alcanzaron su punto máximo alrededor de 1,700 a mediados de enero, para abordar la amenaza sofisticada.

Debido a la situación con la explotación activa de múltiples vulnerabilidades críticas de zero-day, falta de mitigaciones efectivas y falta de actualizaciones de Seguridad Cibernética e Infraestructura de Estados Unidos (CISA) ha ordenado a las agencias federales desconectar todos los dispositivos VPN Ivanti Connect Secure y Policy Secure.

Solo los dispositivos que hayan sido restablecidos de fábrica y actualizados a la última versión de firmware deben volver a conectarse a la red. Sin embargo, las versiones más antiguas que siguen siendo vulnerables aún no tienen un parche.

Esta instrucción se extiende a organizaciones privadas, aunque no es obligatoria. Por lo tanto, las empresas deben considerar seriamente el estado de seguridad de sus implementaciones de Ivanti y la confianza de su entorno en general.

 

#Ivanti #Exploit #VPN

 

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.